预防注入攻击

看到的大都是get方式的注入攻击，  
  我想了解一下关于post方式的注入攻击问题。  
  以下为原代码：  
   
  rs.open   "select   *   from   Message",conn,2,3  
  rs.addnew  
  rs("SysID")=IDMaker  
  rs("title")=request.Form("title")  
  rs("Content")=request.Form("Content")  
  rs("Title")=request.Form("Title")  
  rs.Update  
   
  这个代码可以注入吗？ 问题点数：100、回复次数：11Top

1 楼baikaishui_0825（baikaishui）回复于 2005-03-09 09:42:41 得分 10

一般注入表单验证比较多  
  表单提交到数据库，一般过滤非法字符，以免显示的时候出错Top

2 楼TSD（智之选,商欲达--智商购物系统zhishop.com）回复于 2005-03-09 09:43:24 得分 10

没什么用Top

3 楼caoshangfei（草上飞）回复于 2005-03-09 09:50:36 得分 10

自己在本地模仿他的form不就可以了吗。Top

4 楼mymyal123（风之森）回复于 2005-03-09 09:54:55 得分 20

给你两个函数,  
  Function   toNum(s,default)  
          If     IsNumeric(s)     and     s     <>     ""     then      
                  toNum     =     CLng(s)      
          Else      
                  toNum     =     default      
          End     If      
  End   Function      
   
   
  Function   toSql(str)      
        If     IsNull(str)     Then     str     =     ""      
                toSql     =     replace(str,     "'",     "''")      
  End   Function  
  Top

5 楼ermao998（二毛）回复于 2005-03-09 09:55:57 得分 0

据说Update方法也是将语句转换成Sql来执行的。  
  我想应该可以注入的。  
  但是我想了解这样方式应该如何注入呢？Top

6 楼myhwlj（极度郁闷）回复于 2005-03-09 10:07:46 得分 10

可以注入！！'   or   'a'='aTop

7 楼ermao998（二毛）回复于 2005-03-09 10:19:53 得分 0

顶上去！Top

8 楼patchclass（黑翼）回复于 2005-03-09 10:20:38 得分 10

晕,用get和用post没有什么区别Top

9 楼fadeaway_z（michael_z）回复于 2005-03-09 10:46:52 得分 10

这个能注入，不过当时是没什么效果，当你显示的时候   可能会出问题Top

10 楼ryuginka（一米八五的猪）回复于 2005-03-09 10:54:01 得分 10

用addnew可以减少注入的危险,但是,还是有漏洞的.最好成绩要屏蔽一些SQL的关键字,比如DELETE等Top

11 楼life360（wenjian）回复于 2005-03-09 10:56:43 得分 10

有用的   ，若用     request.Form("")     你若直接在地址那里输入是接收不到字符的。除非你在本地写   post   表单Top

相关问题

• 注入
• 表单
• tonum
• rs
• 方式
• title
• request
• str
• form
• function

• 帖主：ermao998
• baikaishui_0825
• TSD
• caoshangfei
• mymyal123
• myhwlj
• patchclass
• fadeaway_z
• ryuginka
• life360

• Web开发类图书